To LinkedIn app μεταδίδει ευαίσθητα δεδομένα χρηστών εν αγνοία τους

[senkradvii]

Η εφαρμογή του LinkedIn για iPhone και iPad συγκεντρώνει πληροφορίες από καταχωρήσεις στο ημερολόγιο, συμπεριλαμβανομένων κωδικών και σημειώσεων για συναντήσεις και τα μεταδίδει στους servers της εταιρίας χωρίς οι ίδιοι οι χρήστες της εφαρμογής να το γνωρίζουν. Αυτό τουλάχιστον υποστηρίζουν οι Yair Amit και Adi Sharabani, ερευνητές ασφάλειας, οι οποίοι αναμένεται να παρουσιάσουν τα ευρήματά τους σε ένα συνέδριο ασφαλείας στο Πανεπιστήμιο του Tel Aviv.

Η εφαρμογή του κολοσσού της επιχειρηματικής διασύνδεσης για το iOS, έχει μια έξτρα επιλογή η οποία επιτρέπει στον χρήστη να βλέπει τις καταχωρήσεις του ημερολογίου του μέσα από την εφαρμογή. Παρόλα αυτά όμως, σύμφωνα με τους δυο ερευνητές, όταν αυτή η επιλογή ενεργοποιηθεί από τον χρήστη τότε αρχίζει η συλλογή των στοιχείων τα οποία αποστέλλονται αυτόματα στους κεντρικούς servers τoυ LinkedIn χωρίς ο χρήστης να έχει ερωτηθεί προηγουμένως. Η μετάδοση των δεδομένων χωρίς την συγκατάθεση του χρήστη πιθανώς να παραβεί τους κανόνες ιδιωτικότητας που επιβάλλει η Apple στους κατασκευαστές εφαρμογών και οι οποίοι απαγορεύουν την συλλογή και αποστολή δεδομένων χωρίς την σαφή συγκατάθεσή του χρήστη.

Οι ερευνητές έχουν επικοινωνήσει με την εταιρία LinkedIn για να τους γνωστοποιήσουν τα ευρήματά τους χωρίς όμως να έχει λυθεί μέχρι στιγμής το θέμα, ενώ θεωρούν πως η εταιρία δεν χρησιμοποιεί τα δεδομένα με κακόβουλο τρόπο. Παρόλα αυτά όμως τους ανησυχεί το γεγονός πως η εφαρμογή συλλέγει και αποστέλλει ευαίσθητα προσωπικά δεδομένα, τα οποία προφανώς είναι χρήσιμα στην εταιρία για να προσελκύσει περισσότερους χρήστες, χωρίς να έχει η εταιρία κάποιο νόμιμο δικαίωμα ώστε η διαδικασία αυτή να γίνεται εν αγνοία των χρηστών. Επίσης θεωρούν πως το μεγαλύτερο πρόβλημα είναι το γεγονός ότι οι περισσότερες πληροφορίες που αποστέλλονται δεν χρειάζονται καν για την λειτουργικότητα της εφαρμογής.

Η επίσημη απάντηση του LinkedIn είναι πως αυτή η επιλογή δεν είναι αναγκαστική και πως απλά βελτιώνει τις λειτουργίες της εφαρμογής και ότι οι χρήστες μπορούν να την απενεργοποιήσουν όποτε θέλουν. Η εκπρόσωπος της εταιρίας, Ms. Inouye, δήλωσε χαρακτηριστικά:

"We use information from the meeting data to match LinkedIn profile information about who you're meeting with so you have more information about that person"

χωρίς βέβαια να ξεκαθαρίζει για ποιο λόγο τα δεδομένα αποστέλλονται στους servers στα κεντρικά της εταιρίας.


Πηγές: cnet.com, nytimes.com

[dpa2006]

πολύ σοβαρό το θέμα.
δεν εχουν διευκρινήσει αν θα το διορθώσουν;

[senkradvii]

πολύ σοβαρό το θέμα.
δεν εχουν διευκρινήσει αν θα το διορθώσουν;

H μέχρι στιγμής επίσημη απάντησή τους είναι αυτή που φαίνεται στο άρθρο.

[dpa2006]

H μέχρι στιγμής επίσημη απάντησή τους είναι αυτή που φαίνεται στο άρθρο.

τι να πω...;

δεν είναι σοβαρά πράγματα αυτά...

[iml]

Ε...σκέφτεται η εταιρεία
"αφού η επιλογή δεν είναι αναγκαστική γιατί γκρινιάζεις χρήστη?
άλλωστε όλοι σήμερα αυτό κάνουν. Μαζεύουν προσωπικά δεδομενα"

[blade_]

αυτη δεν ειναι η εφαρμογη που συγκεντρωνει καποιες πληροφοριες οπως likes που σου εκαναν κτλ?η κατι τετοιο?κατι μου θυμιζει..

[senkradvii]

Ε...σκέφτεται η εταιρεία
"αφού η επιλογή δεν είναι αναγκαστική γιατί γκρινιάζεις χρήστη?
άλλωστε όλοι σήμερα αυτό κάνουν. Μαζεύουν προσωπικά δεδομενα"

O πλέον παραλογισμός είναι αυτός βέβαια, αφού απλούστατα κάνεις και 2-3 πραγματάκια στην ζούλα.

[Seitman]

Τελικά όσο περνάει ο καιρός, όλο και περισσότερο χαίρομαι που έχω ξεκόψει εντελώς από όλες αυτές τις "social" χαζομάρες.

[haniabal]

Μπορεί ο χρήστης να δίνει τα δεδομένα του αλλά η εφαρμογή πρέπει να προειδοποιεί τον χρήστη για την πολιτική των δεδομένων του.Αλλιώς δεν δικαιολογείτε με τίποτα.

[Revolution]

πολύ σοβαρό το θέμα.
δεν εχουν διευκρινήσει αν θα το διορθώσουν;

Βασικα εδω επρεπε να πεσουν σωρηδον μυνησεις αλλα ποιος ασχολειτε με αυτα.

Η καραμελα του ""Μπορουν να το απενεργοποιησουν εχει παραγινει"

Σου κλεβουμε εν αγνοια σου τα παντα αλλα αν το μαθεις μπορεις να το απενεργοποιησεις, και γαμω τις λογικες.
Βεβαιαα σε μια Facebook-τομημενη κοινωνια λιγο σημασια εχει.

[yiapap]

Eπειδή σε αντίθεση με το Facebook, χρησιμοποιώ το LinkedIn το οποίο το θεωρώ καλό επαγγελματικό εργαλείο δικτύωσης και θέλω να θέσω μερικά θέματα:
1. Ας μου εξηγήσει κάποιος τι θα πει "όταν αυτή η επιλογή ενεργοποιηθεί από τον χρήστη τότε αρχίζει η συλλογή των στοιχείων τα οποία αποστέλλονται αυτόματα στους κεντρικούς servers ... Η μετάδοση των δεδομένων χωρίς την συγκατάθεση του χρήστη"; Κατεβάζω εγώ το app του LinkedIn για το iGadget μου. Κάνω εγώ opt-in σε μια λειτουργία της εφαρμογής του Linked-In που δεν είναι προεπιλεγμένη και αναφέρει εμφανώς τα περί συγκέντρωησς-μετάδοσης. Τρέχω εγώ την εφαρμογή που κατέβασα και έκανα opt-in στη λειτουργία συλλογής-μετάδοσης στοιχείων ημερολογίου αλλά... γίνεται χωρίς τη συγκατάθεσή μου;;;;;;;;
2. Όλοι (και εγώ) έχουν κολλήσει στο highlighted passcode της εικόνας. Μάλιστα. Έχει παρατηρήσει κανείς ότι αυτό δεν είναι password αλλά μέρος των σημειώσεων (notes ενός event του organizer; Δηλαδή ποιός γράφει σοβαρό κωδικό plain text... στο ημερολογιό του να καταλάβω!!!
3. Δεν κατανοώ ποιός στέλνει εμπιστευτικά οικονομικά στοιχεία με email, τα παίρνει μέσω iPhone την ώρα που τρέχει η εφαρμογή του LinkedIn στην οποία έχει επιλέξει opt-in των μοιράσματος πληροφοριών. Αν υπάρχουν τέτοια άτομα είμαι υπέρ τέτοιοων εφαρμογών ώστε να απολύονται λόγω απύθμενης βλακείας- άγνοιας

4. That said... ΟΚ, χρειάζεται το linkedin τα email αποστολέα παραλήπτη. Χρειάζεται (ας πούμε) τον τίτλο ενός meeting, την τοποθεσία και τους συμμετέχοντες. Οι σημειώσεις του meeting ή ο τίτλος ενός email τι σκοπό εξυπηρετεί;

- - - Updated - - -

Βασικα εδω επρεπε να πεσουν σωρηδον μυνησεις αλλα ποιος ασχολειτε με αυτα.

Η καραμελα του ""Μπορουν να το απενεργοποιησουν εχει παραγινει"

Σου κλεβουμε εν αγνοια σου τα παντα αλλα αν το μαθεις μπορεις να το απενεργοποιησεις, και γαμω τις λογικες.
Βεβαιαα σε μια Facebook-τομημενη κοινωνια λιγο σημασια εχει.

Opt-in κάνεις. Δεν είναι προεπιλεγμένη. Εσύ επιλέγεις να το ενεργοποιήσεις.

[senkradvii]

To θέμα είναι πως όταν αποφασίσεις να το ενεργοποιήσεις δεν σου λέει ότι τώρα θα αρχίσουμε να μαζεύουμε ότι δεδομένα θέλουμε και θα τα στέλνουμε στα κεντρικά μας να τα κάνουμε ότι θέλουμε. Επειδή δεν έχω το app να το δοκιμάσω, όταν ενεργοποιήσεις την επιλογή σου λέει εμφανώς πως δεδομένα (άσχετα με την λειτουργία της εφαρμογής) θα συλλέγονται και θα αποστέλλονται στα κεντρικά της εταιρίας; Γιατί τα άρθρα λένε ακριβώς το αντίθετο.

Επίσης το ότι μπορεί να γράψει ο καθένας ότι θέλει στο ημερολόγιό του δεν αποτελεί επιχείρημα/ελαφρυντικό για υποκλοπή.

[euri]

Ήταν στραβό το κλήμα, το δάγκωσε κι ο γάιδαρος...

[yiapap]

Ήταν στραβό το κλήμα, το δάγκωσε κι ο γάιδαρος...

Kαι βέβαια με την κλασσική γκαντεμιά μου το password μου (7 χαρακτήρες, γράμματα+αριθμούς) ήταν στη λίστα!
Τσεκάρετε τα pass σας εδώ: http://www.leakedin.org

[Revolution]

Απο περιεργεια αυτο δινει result για ολα τα υπαρκτα password?
Γιατι ας πουμε εβαλα τυχαια τραγικα pasword τυπου 12345, acbdef κτλ και τα βρηκε ολα compromised (λογικο)